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@ Karte mit integrierter Schaltung 

@ IC-Karte zum bidirektionalen Datentransfer mit einer 
Vielzahl von Terminals (9 bis 11), auf der ein Berechti- 
gungscode fur die Benutzung der Vielzahl von Terminals 
durch einen Benutzer (16) der IC-Karte gespeichert und 
auf der ein Speicher (19) vorgesehen ist, der in eine Viel- 
zahl von Bereichen (22 bis 24) aufgeteilt ist, dadurch ge- 
kennzeichnet, daft 

jedem der Bereiche ein eigenes Verschliisselungs- und 
Entschlusselungsbegriffspaar (102 bis 107) zugeordnet 
ist, 

wobei die verschiedenen Verschlusselungs- und Ent- 
schlusselungsbegriffspaare jeweils einer Anzahl von Per- 
sonen, die die Terminals (9 bis 11) betreiben, bekanntge- 
geben werden, urn die IC-Karte fur diese Anzahl von Per- 
sonen verwendbar zu gestalten, 

wobei die Daten jedes Bereiches bei Eingabe des dem Be- 
reich zugeordneten Verschlusselungsbegriffes an einem 
der Terminals verschlusselt werden, und 
wobei die Daten jedes Bereiches bei Eingabe des dem Be- 
reich zugeordneten Entschlusselungsbegriffes an einem 
der Terminals entschlusselt werden. 
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Beschreibung 



Die Erfindung betrifft eine IC-Karte gemaB dem Oberbe- 
griff des Patentanspruchs. Eine solche IC-Karte zum bidi- 
rektionalen Datentransfer mit Terminals ist aus der 5 
EPO 152 024 A2 bekannt. Eine IC-Karte, auf der ein Be- 
rechtigungscode fur dieBenutzung der Terminals durch eine 
Person gespeichert ist, ist auch aus der DE 29 17 965 Al be- 
kannt. 

Eine IC-Karte, die aus eine Kunststoffkartenkorper, in 10 
den ein IC, d. h. eine integrierte Schaltung eingebettet ist, 
soil eine einzelne Person identifizieren, eine Falschung er- 
schweren und eine groBe Speicherkapazitat haben und findet 
ihre Anwendung bei der elektronischen Abrechnung, bei 
Personalinformationskarteien, der Sicherheitskontrolle u. a. 15 

Wenn eine Person in Supermarkten oder Warenhausern 
unter Verwendung einer einzelnen IC-Karte einkauft, ist es 
vom Standpunkt der Beibehaltung der Vertraulichkeit wun- 
schenswert, daB eine Liste von Kaufen in einem Geschaft 
nicht in anderen Geschaften gelesen werden kann, in denen 20 
der Kunde andere Kaufe tatigt. Zu diesem Zweck sollte die 
IC-Karte mit Transaktionsbereichen versehen sein, die in 
Abhangigkeit von den Geschaften verschieden sind, so daB 
ein Geschaft keinen Bezug auf die Transaktionen von ande- 
ren Geschaften nehmen kann. 25 

Bisher besteht eine erste Schwierigkeit darin, da/3 es we- 
der ein Verfahren zum Schutzen einer Vielzahl von Transak- 
tionsbereichen in derselben IC-Karte iiber verschiedene Ver- 
schlusselungsbegriffe noch ein dazu geeignetes Schliissel- 
steuerverfahren gibt. Unter den offentlichen Verschliissel- 30 
ungssystemen gibt es andererseits beim RAS- Verfahren und 
beim Rabin- Verfahren einen Hauptschliissel. Unter Verwen- 
dung des Hauptschlussels kann die oben erwahnte Schius- 
selsteuerung wirksam ausgefiihrt werden. 

Eine zweite Schwierigkeit besteht bisher darin, daB die 35 
Falschung der IC-Karte und die Anderung oder Falschung 
von Daten in der Karte nicht berucksichtigt wurden. 

Eine dritte Schwierigkeit besteht darin, daB die herkomm- 
liche IC-Karte unter der Voraussetzung hergestellt wurde, 
daB sie von einer einzelnen Person benutzt wird (siehe Nik- 40 
kei Computer "Will the Age of IC Card will Come?", 8. Juli 
1985). Gesundheitsdaten, Vermogensdaten und ahnliche 
Daten konnen der IC-Karte eingegeben werden, um diese zu 
benutzen. Zusatzlich zu dem Fall, in dem der Benutzer 
selbst die Personenidentifizierungsnummer eingibt, um die 45 
gewunschten Daten zu erhalten, kommt es jedoch auch oft 
vor, daB ein Arzt oder ein Bankangestellter eine andere Per- 
sonenidentifizierungsnummer eingibt, um alle gewunschten 
Daten oder einen Teil der gewunschten Daten, beispiels- 
weise in einem Notfall, zu entnehmen. 50 

Aufgabe der Erfindung ist es, die bekannte IC-Karte so 
aus zubilden, daB sie fur eine Anzahl von Personen ver- 
wendbar ist, aber jede Person nur auf bestimmte Bereiche 
des Speichers der IC-Karte Zugriff hat. 

Diese Aufgabe wird bei einer gattungsgemaBen IC-Karte 55 
durch die im kennzeichnenden Teil des Patentanspruchs an- 
gegebenen MaBnahmen gelost. 

Die erfindungsgemaBe IC-Karte soil es insbesondere 
moglich machen, eine Falschung der. Karte oder eine Fal- 
schung oder Anderung der Daten in der Karte, beispiels- 60 
weise einer bargeldlosen Einkaufskreditkarte festzustellen. 

Die erfindungsgemaBe IC-Karte soil es schlieBlich dem 
Benutzer der Karte erlauben, die Daten zu entnehmen und 
gleichfalls nur einem begrenzten Personenkreis moglich 
machen im Notfall Daten zu entnehmen. 65 

Dazu wird gemaB der Erfindung beim Einschreiben der 
Daten an den Transaktionsbereichen der IC-Karte oder beim 
Lesen der Daten von diesen Transaktionsbereichen der fol- 



gende Arbeitsablauf ausgefiihrt. 

(i) Der IC-Karten-Herausgeber oder -Verwalter berei- 
tet vorher Gruppen von Verschliisselungs- und Ent- 
schltisselungsbegriffen in der Anzahl der Transaktions- 
bereiche vor, die geheimgehalten werden, und bildet ei- 
nen Hauptentschliisselungsbegriflf fur alle Entschliis- 
selungsbegriffe. 

(ii) Der Kartenverwalter- oder -herausgeber ordnet ei- 
nen Verschlusselungsbegriff und einen Entschlussel- 
ungsbegriff jedem Transaktionsbereich zu, schreibt ei- 
nen oberen verfugbaren Geldbetrag und den Verschlus- 
selungsbegriff oder den Entschlusselungsbegriff an ei- 
nem Teil des Transaktionsbereiches ein und verschliis- 
selt den obigen Transaktionsbereich unter Verwendung 
des Verschlusselungsbegriffes. 

(iii) Der IC-Kartenverwalter oder -herausgeber iiber- 
gibt die IC-Karte dem Benutzer. Er handigt weiterhin 
den Verschlusselungsbegriff und den Entschlussel- 
ungsbegriff den einzelnen Geschaften aus, so daB diese 
die Trans aktionsbereiche ver- und entschliisseln kon- 
nen. 

Aufgrund der oben beschriebenen Arbeitsvorgange (i) bis 
(iii) haben die verschiedenen Geschafte verschiedene Ver- 
schliisselungs- und Entschlusselungsbegriffe. Ein gegebe- 
nes Geschaft kann daher nur die Transaktionsbereiche, die 
dem Entschlusselungs- und Verschlusselungsbegriff ent- 
sprechen, die das Geschaft hat, aus einer Vielzahl von Trans- 
aktionsbereichen verarbeiten, die in der IC-Karte enthalten 
sind. Das macht es moglich, die Vertraulichkeit fur den Be- 
nutzer zu schutzen. Der IC-Karten-Herausgeber halt den 
HauptentschliisselungsbegrifF, der wiilkurlich alle Transak- 
tionsbereiche der IC-Karte entschliisseln kann, um deren In- 
halt kennenzulernen. Der Hauptentschlusselungsbegriff 
kann daher dann benutzt werden, wenn die einzelnen Ent- 
schlusselungsbegriffe verlorengegangen sind. Der Haupt- 
entschlusselungsbegriff muB weiterhin nicht fur die Trans- 
aktionen verwandt werden, er kann sicher aufbewahrt wer- 
den. 

GemaB der Erfindung werden weiterhin die Daten in der 
Karte dadurch erfaBt, daB der Saldo und eine Datenande- 
rungscodierung gepruft werden, um mit Anderungen der 
Daten fertigzuwerden. Die Datenanderung in der Geschaft- 
stransaktionsdatei oder in der Banktransaktionsdatei wird 
weiterhin dadurch gepruft, daB die Datenanderungscodie- 
rung und die IC-Kartendaten gemischt und sortiert werden. 

Eine Datenanderungsdetektorschaltung ahnelt im Prinzip 
dem Algorithmus einer Codefehlerdetektorschaltung und 
kann dadurch verwirklicht werden, daB eine Verschiiissel- 
ungsvorrichtung verwandt wird und deren Ausgangsdaten 
zum Eingang riickgekoppelt werden. 

SchlieBlich kann ein Mikroprozessor der IC-Karte auf der 
Grundlage der eingegebenen Personenidentifizierungsnum- 
mer (zusatzlich zu Nummern sind auch Codierungen akzep- 
tabel) die Zulassigkeitsstufe festlegen, und kann ein zugreif- 
barer Datenbereich bestimmt werden, um die erlaubten Da- 
ten zu liefern. 

Im folgenden werden anhand der zugehorigen Zeichnung 
besonders bevorzugte Ausfiihrungsbeispiele der Erfindung 
naher beschrieben. Es zeigen 

Fig. 1A und IB in Blockschaltbildern den Aufbau eines 
ersten Ausfuhrungsbeispiels der erfindungsgemaBen IC- 
Karte, 

Fig. 2 das FluBdiagramm eines Arbeitsablaufes, wenn der 
Benutzer einen Kauf in einem Geschaft unter Verwendung 
der IC-Karte tatigt, 

Fig. 3 in einem Blockschaltbild den Aufbau eines zweiten 
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Ausfuhrungsbeispiels der erfindungsgemaBen IC-Karte 
wahrend des Einkaufs, 

Fig. 4 in einem Blockschaltbild den Aufbau der Datenan- 
derungsdetektorschaltung in der IC-Karte, 

Fig. 5 in einem Blockschaltbild den Aufbau eines dritten 5 
Ausfuhrungsbeispiels der erfindungsgemaBen IC-Karte bei 
einem IC-Kartensystem fur Gesundheitsdaten, 

Fig. 6 in einem Diagramm den Datenaufbau in einem 
Festspeicher ROM und 

Fig. 7 in einem Diagramm den Datenaufbau in einem EE- 10 
ROM. 

Die Fig. 1 A und IB zeigen den Aufbau eines ersten Aus- 
fuhrungsbeispiels der erfindungsgemaBen IC-Karte. 

Eine derartige IC-Karte wird zunachst in der folgenden 
Weise vorbereitet. 15 

Ein IC-Kartenherausgeber 101 bereitet Gruppen 102, 
103, 106, 107 von Verschlusselungsbegriffen und Ent- 
schlusselungsbegriffen sowie einen Hauptentschlusselungs- 
begriff 108 fiir die Entschlusselungsbegriffe 103 .. . 107 vor 
und halt den Hauptentschlusselungsbegriff geheim. Danach 20 
ubergibt der IC-Kartenherausgeber 101 die Gruppen 102, 
103 .. . 106, 107 von Verschlusselungs- und Entschliissel- 
ungsbegriffen den Geschaften 9 ... 11. Der IC-Kartenher- 
ausgeber schreibt weiterhin einen verfugbaren oberen Geid- 
betrag in die Transaktionsbereiche 22 ... 24. Der IC-Kar- 25 
tenherausgeber verschliisselt dann die Gruppen 102, 103, 
106, 107 der Verschlusselungs- und Entschlusselungsbe- 
griffe mit dem Verschlusselungsbegriff, der jeder der Karten 
entspricht, und schreibt jeweils eine Schltisselbegriffs- 
gruppe in jeden Schliisselspeicher 13 ... 15 der IC-Karte 30 
25. Dann verschliisselt er die Berechtigungscodierungen 
entsprechend den an jedem Transaktionsbereich einge- 
schriebenen Daten mit dem Verschlusselungsbegriff, der je- 
der der Karten entspricht, und schreibt diese Codierungen 
nieder. Der IC-Karten-Herausgeber ubergibt dann die IC- 35 
Karte 25 einem Benutzer 16. 

Die Berechtigungscodierung bezieht sich dabei auf die 
Daten, die an den Transaktionsbereichen eingeschrieben 
sind, die komprimiert sind. 

Uber einen Eingabe/Ausgabeteil 12 werden Daten in ei- 40 
nen Speicher 19 eingeschrieben und vom Speicher 19 gele- 
sen, indem ein Prozessor 17 unter der Steuerung einer Soft- 
ware oder eines Programmpaketes betrieben wird, das in ei- 
nem Festspeicher 18 enthalten ist. 

Fig. 2 zeigt ein RuBdiagramm fiir den Arbeitsablauf der 45 
IC-Karte, wenn der Benutzer 16 einen Kauf in einem Ge- 
schaft 9 tiitigt. 



201 Der Benutzer gibt seine Personenidentifikationsnum- 
mer uber den Eingabe/Ausgabeteil in den Prozessor 17 ein. 50 

202 Der Prozessor 17 entnimmt die Personenidentifikations- 
nummer von einem geheimen Bereich unter der Steuerung 
der Software. 

203 Der Prozessor 17 erzeugt iiber den Eingabe/Ausgabeteil 
ein zustimmendes Signal "in Ordnung", wenn die Persone- 55 
nidendfizierungsnummer, die vom Benutzer 16 eingegeben 
wurde, mit der Personenidentifizierungsnummer uberein- 
stimmt, die im geheimen Bereich enthalten ist, erzeugt ein 
negatives Signal "nein", wenn das nicht der Fall ist. 

204 Wenn das negative Signal erzeugt wird schreibt der Pro- 60 
zessor 17 keine Daten oder liest der Prozessor 17 keine Da- 
ten mehr, bis das positive Signal das nachstemal erzeugt 
wird. 

205 Wenn das positive Signal erzeugt wird, erneuert das Ge- 
schaft 9 den Inhalt des Transaktionsbereiches 22 unter Ver- 65 
wendung des Verschlusselungsbegriffes 102 und des Ent- 
schlusselungsbegriffes 103 in Abhangigkeit von dem was 
der Benutzer 16 gekauft hat. 



Im folgenden wird im einzelnen beschrieben, wie der In- 
halt des Transaktionsbereiches neu geschrieben wird. Der 
EntschlusselungsbegrifT 103 wird namlich in die IC-Karte 
25 durch das Geschaft 9 eingegeben und die Daten im 
Schliisselspeicher 13 werden mit dem Entschlusselungsbe- 
grifT 103 entschlusselt. Dann wird bestatigt, ob die Berech- 
tigungscodierung, die in den entschliisselten Daten enthal- 
ten ist, mit einer Berechtigungscodierung in Ubereinstim- 
mung steht, die aus den Daten des Transaktionsbereiches 22 
berechnet wird. Nachdem diese Ubereinstimmung bestatigt 
worden ist, werden der Transaktionsbereich 22 und die Be- 
rechtigungscodierung in Abhangigkeit von dem Wert des 
Kaufes neu geschrieben, woraufhin die Daten im Schlussel- 
speicher 13 mit dem obigen Verschlusselungsbegriff ver- 
schliisselt werden. 

Wenn sich jedoch herausstellt, daB die Berechtigungsco- 
dierungen nicht miteinander ubereinstimmen, erzeugt die 
IC-Karte ein Signal, um das Geschaft 9 uber diese Tatsache 
zu informieren, so daB das Geschaft 9 die notwendigen 
MaBnahmen ergreifen kann, um den Kauf zu unterbinden. 

Im folgenden wird ein Beispiel eines Einkaufs unter Ver- 
wendung eines zweiten Ausfuhrungsbeispiels der erfin- 
dungsgemaBen IC-Karte beschrieben. 

Bei diesem Beispiel eines Einkaufs konnte ein unlauteres 
Geschaft dadurch zustandekommen, daB die Daten in der 
Karte geandert werden, beispiels weise die Daten des Bar- 
geldempfangs von einer Bank und die Daten iiber den Ver- 
kauf und den Kauf geandert werden. 

Fig. 3 zeigt das Blockschaltbild einer IC-Karte, die diese 
Art eines unlauteren Geschaftes verhindert. 

Die IC-Karte kann nicht auf den nachsten Arbeitsvorgang 
iibergehen, es sei denn, daB der Benutzer der IC-Karte durch 
eine Mischschaltung auf der Grundlage eines Kennwortes 
oder ahnlichem bestatigt wird. Eine Sicherheitscodierung 2 
ist in einen Festspeicher eingeschrieben, der nicht direkt von 
auBen gelesen werden kann. Eine Kontonummer 3 ist 
gleichfalls in den Festspeicher eingeschrieben. Eine Daten- 
anderungsdetektorschaltung 4 bildet eine verschlusselte Be- 
rechtigungscodierung, indem sie das Ausgangssignal einer 
Verschlusselungsvorrichtung zu deren Eingangsseite riick- 
koppelt, wie es in Fig. 4 dargestellt ist. Wenn somit die Da- 
ten 61 . . . 64, die zu autorisieren sind, geandert und als Da- 
ten 6 in Fig. 4 eingegeben werden, pflanzen sich die Auswir- 
kungen der Bits der geanderten Daten der Reihe nach nach 
vorne fort und wird eine Codierung 65 gebildet, die sich von 
der urspriinglichen Codierung unterscheidet. Die Tatsache 
einer Datenanderung wird daher festgestellt. 

Eine Eingabe/Ausgabesteuerschaltung 5 ist eine Schnitt- 
stellenschaltung zwischen der IC-Karte und den Terminals 
30, 31 fur die Karte. Eine Datei 6 betrifft die Eingabezeiten, 
die Terminal-Nummern, den Bargeldempfang und die Zah- 
lungen, den Kontostand, die Datenanderungsfeststellung- 
scodierung u. a. 

Um den Bargeldempfang auf die Karte zu schreiben, wird 
die Karte zunachst in ein Bankterminal 30 eingefuhrt und 
wird von der Tastatur aus ein Kennwort eingegeben. Das 
Kennwort wird uber die Eingabesteuerschaltung 5 eingege- 
ben und mit der Codierung in der Schaltung durch die 
Mischschaltung gemischt, um sicherzustellen, daB es sich 
bei der eingebenden Person um eine Person handelt, die Be- 
sitzer der Karte ist. Wenn das Mischergebnis positiv ist, wird 
die Konto-Nummer der Eingabe/Ausgabesteuerschaltung 5 
auf ein Signal von der Mischschaltung 1 ansprechend zuge- 
fuhrt. Eine Konto-Datei wird dann am Bankterminal geoff- 
net. Wenn Bargeldempfangsdaten von der Tastatur der Karte 
eingegeben werden, wird eine Sicherheitscodierung am Ter- 
minal zusammen mit dem Bargeldempfang, der Zeit- dem 
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Kontostand und der Terminalnummer eingegeben. In der 
Karte werden die Daten, die durch die Eingabesteuerschal- 
tung hindurchgegangen sind, der Datenanderungsfeststel- 
lungsschaltung 4 zugefiihrt, die eine Datenanderungsfest- 
stellungscodierung dadurch biidet, daB sie die Zeit, die Ter- 5 
minalnummer und den Bargeldempfang als Eingangswerte 
der Verschliisselungsvorrichtung mit der Sicherheitscodie- 
rung der Karte und der Sicherheitscodierung des Terminals 
als Kennbegriffe liefert, Diese Daten werden in die Datei 6 
geschrieben und gleichzeitig in die Konto-Datei geschrie- to 
ben. Die Sicherheitscodierung 2 des Terminals wird am Si- 
cherheitscodierungsbereich der Karte aufgezeichnet. Der Si- 
cherheitscodierungsbereich ist dabei ein Speicherbereich, 
der mit einer Einrichtung zum Schiitzen der Daten in Form 
einer Hardware und einer Software versehen ist, so daB die is 
Daten durch eine auBenstehende Person nicht entnommen 
werden konnen und keine Daten von einer auBenstehenden 
Person eingeschrieben werden konnen. 

Um in einem Geschaft einzukaufen, wird die Karte mit ei- 
nem Einkaufsterminal 31 verbunden und wird ein Kennwort 20 
durch die Tastatur am Einkaufsterminal 31 eingegeben. 
Wenn das richtige Kennwort eingegeben wird, Iiest das Ein- 
kaufsterminal den Kontostand von der Karte. Nachdem der 
Kontostand gepruft ist, werden die Preise fur die gekauften 
Waren uber die Tastatur am Terminal 31 eingegeben. Wenn 25 
die Bargeldzahlung, die Zeit, der Kontostand, die Einkaufs- 
terminalnummer und die Sicherheitscodierung am Terminal 
eingegeben werden, wie es oben beschrieben wurde, emp- 
fangt die Datenanderungsfeststellungsschaltung 4 in der 
Karte die Zeit 61, die Terminalnummer 62, den Bargeld- 30 
empfang und die Zahlung 63 und den Kontostand 64 als 
Eingangsdaten, um eine Datenanderungsfeststellungscodie- 
rung 65 zusammen mit den Sicherheitscodierungen der 
Karte und des Terminals als Schliisselbegriffe zu bilden. 
Diese Daten werden in die Datei 6 geschrieben und gleich- 35 
zeitig iiber das Einkaufsterminal 31 zusammen mit der im 
Kontonummemfeld aufgezeichneten Kontonummer in die 
Geschaftstransaktionsdatei 32 geschrieben. 

Die Geschaftstransaktionsdatei 32 wird auf die Bank 
ubertragen, fur jede Kontonummer umgeordnet und in die 40 
Kontodatei 33 geschrieben. 

Wenn das Guthaben kleiner wird und der Benutzer emeut 
einen Bargeldempfang auf die Karte schreiben will, fuhrt er 
die Karte in das Bankterminal 30 ein und gibt das Kennwort 
ein. Wenn das Kennwort annehmbar ist, kann die Datei der 45 
Karte vom Bankterminal 30 ausgelesen werden. Das Bank- 
terminal liest die Kontonummer von der Karte und offhet 
eine Kontodatei, in die bereits Daten vom Geschaft ge- 
schrieben worden sind. Eine lautere oder unlautere Behand- 
lung wird daher dadurch unterschieden, daB die Datei der 50 
Karte mit der Kontodatei zusammen geftihrt und der Konto- 
stand gepruft wird. 

Wenn beide Aufzeichnungen richtig sind, werden die 
Aufzeichnungen von der Kartendatei geloscht. 

Wenn alle Aufzeichnungen annehmbar sind, ubertragt die 55 
Bank die Geldmenge, die der Verbraucher im Geschaft aus- 
gegeben hat. Der Kontostand wird in der Bank berechnet. 

Um den Kontostand zu prufen, werden Barauszahlungen 
63 infolge jedes Einkaufs von dem Anfangskontostand der 
Kartendatei abgezogen, und wird das Ergebnis dieser Sub- 60 
traktion mit dem Kontostand 64 zusammengezahlt. 

Wenn die Aufzeichnungen nicht Ubereinsdmmen, wird 
die Sicherheitscodierung am Terminal fur jede der Auf- 
zeichnungen von der Bankdatei auf der Grundlage der Ter- 
minalnummer 62 der Aufzeichnungen ausgelesen. Die Si- 65 
cherheitscodierung und die Aufzeichnung werden dann der 
Karte eingegeben, um eine Datenanderungsfeststellungsco- 
dierung von der Karte zu erhalten. Um diese Codierung mit 
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der Datenanderungsfeststellungscodierung der vorherge- 
henden Aufzeichnung der Karte oder der Bankdatei zusam- 
men zu fuhren, wird darauf wahrend der Priifung der Fest- 
stellungscodierung Bezug genommen. 

Es sei im folgenden angenommen, daB die Aufzeichnung 
nicht in tjbereinstimmung stent, wobei der Inhalt der Auf- 
zeichnung, der nicht in tjbereinstimmung steht, die Zeit ist. 
In diesem Fall wird die Aufzeichnung der Zeit, die in Uber- 
einstimmung mit irgendeiner der Aufzeichnungen steht, ge- 
funden. 

a) Die IC-Karte enthalt keine entsprechende Aufzeich- 
nung und die FeststeUungscodierungspriifung der 
Bankaufzeichnung und die Priifung des Kontostandes 
sind in Ordnung. In diesem Fall enthalt die Karte keine 
Aufzeichnung und es wird davon ausgegangen, daB die 
Aufzeichnung von der IC-Karte geloscht ist. 

b) Die IC-Karte enthalt keine entsprechende Auf- 
zeichnung und die Priifung der Feststellungscodierung 
der Bankaufzeichnung ist nicht annehmbar. In diesem 
Fall wurde die Aufzeichnung auf der Seite der Bank 
zugegeben und es wird davon ausgegangen, daB die 
Aufzeichnung unberechtigt in die Bankdatei gegeben 
wurde. 

Dieselben Feststellungen konnen auch dann getroffen 
werden, wenn auf der Seite der Bank keine entsprechenden 
Aufzeichnungen vorhanden sind. 

Wenn die Aufzeichnung nicht in tjbereinstimmung steht, 
wobei der Inhalt der Aufzeichnung, der nicht in tjberein- 
stimmung steht die Terminalnummer und der Bargeldemp- 
fang und die Zahlungen sind, wird eine einwandfreie oder 
nicht einwandfreie Behandlung dadurch festgestellt, daB 
jede Feststellungscodierung gepruft wird. 

Wenn weiterhin die Aufzeichnung nicht in tjbereinstim- 
mung steht und der Inhalt der Kontostand ist wird eine ein- 
wandfreie oder nicht einwandfreie Behandlung dadurch 
festgestellt, daB jeder Kontostand gepruft wird. 

Es ist auch erlaubt, statt der Zeitdaten Nummern wie bei- 
spielsweise Seriennummern zu verwenden. 

Bei dem oben beschriebenen Ausfuhrungsbeispiel der Er- 
findung ist es moglich, Anderungen der Daten in der IC- 
Karte oder in der Bankdatei festzustellen. 

Im folgenden wird ein drittes Ausfuhrungsbeispiel der er- 
findungsgemaBen IC-Karte anhand der Fig. 5 bis 7 beschrie- 
ben. 

Fig. 5 zeigt in einem Diagramm schematisch den Aufbau 
eines IC-Kartensystems fur Gesundheitsdaten, bei dem die 
IC-Karte 100 mit einem dafur vorgesehenen Terminal 200 
iiber eine Schnittstelle 290 verbunden ist, um die Funktio- 
nen der IC-Karte darzustellen. 

Die IC-Karte 100 besteht aus einem Mikroprozessor 120, 
einem Festspeicher ROM 110, einem programmierbaren 
Festspeicher PROM 130 und einem elektrisch loschbaren 
programmierbaren Festspeicher EEPROM 140, die iiber Si- 
gnalleitungen 150 miteinander verbunden sind. Wenn die 
IC-Karte 100 iiber eine Signalleitung 160 mit dem Terminal 
200 fur die IC-Karte verbunden ist, wird das Programm im 
PROM 130 in den Mikroprozessor 120 geladen, so daB es 
benutzt werden kann. 

Das Terminal 200 fiir die IC-Karte besteht aus einem Mi- 
krocomputer 240, einer Tastatur 210 und einer Anzeige 220, 
die iiber Signalleitungen 170 miteinander verbunden sind. 
Der Mikrocomputer 240 ist weiterhin iiber eine Signallei- 
tung 180, einen Modem 310, eine offentliche Telefonleitung 
320 und einen weiteren Modem 330 mit einem Datenverar- 
beitungszentrum 400 verbunden. Das Datenverarbeitungs- 
zentrum 400 besteht aus einem Computer 410 und einer Da- 
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tenbank420. 

Der Besitzer der IC-Karte 100 kann einen Arzt aufsuchen, 
der nicht sein Hausarzt ist, und seine Personenidentifizie- 
rungsnummer iiber die Tastatur 210 eingeben Das Signal 
wird dann uber den Microcomputer 240 auf der Sene des 5 
Terminals 200 dem Mikroprozessor 120 in der IC-Karte zu- 
gefuhrt. Der Mikroprozessor 120 fiihrt aber den Speicher 
ROM 110 einen Suchvorgang durch. 

Der ROM 110 hat dabei den in Fig. 6 dargestellten Daten- 
aufbau. Der Datenaufbau besteht somit aus einer Personem- to 
dentifizierungsnummer 111 des Besitzers der IC-Karte 100, 
einer Zulassigkeitsstufe 112 des Informationsbezuges des 
Besitzers, Zulassungscodierungen 113 der praktizierenden 
zugelassenen Arzte, deren Personenidentifizierungsnum- 
mem 114, deren Zulassigkeitsstufe 115 des Informationsbe- 15 
zuges, Berechtigungscodierungen 117 der Daten der zuge- 
lassenen Arzte und einer Zulassigkeitsstufe 116 des Infor- 
mationsbezugs fur nicht zugelassene Arzte. 

Wenn der Mikrocomputer 120, der einen Suchvorgang 
durch den Speicher ROM 110 ausfuhrt, die Personenidenu- 20 
fizierungsnummer, die eingegeben wird, als ubereinstim- 
mend mit der Personenidentifizierungsnummer 111 des Be- 
sitzers anzeigt, wird die Zulassigkeitsstufe 112 des Morma- 
tionsbezuges ausgelesen. Es sei angenommen, daB es nur 
eine Stufe 1 gibt. Auf der Grundlage dieser Stufe best der 25 
Mikroprozessor 120 die DateiimEEPROM 140. 

Fig. 7 zeigt den Datenaufbau im EEPROM 140. Dabei sei 
angenommen, daB die Daten A 141, die mit der Stufe 1 und 
der Stufe 2 zugreifbar sind, die Daten B 142, die nur mit der 
Stufe 1 zugreifbar sind, im EEROM 140 enthalten sind. Bei- 30 
spielsweise enthalten die Daten A 141 die fur die D'agnose 
und Therapie notwendigen Informationen wie die Blut- 
gruppe, das Diagnoseergebnis einer medizimschen Untersu- 
chung, die Krankengeschichte u. a. - Die Daten B 142 ent- 
halten Daten wie die familiaren Verhaltnisse u. a. die keinen 35 
direkten Bezug auf die Diagnose und die Therapie haben, 
sowie diejenigen Daten, von denen der Besitzer der Karte 
nicht wiinscht, daB andere Personen ohne seine Erlaubms 
davon Kenntnis erhalten. 

In diesem Fall wird die Stufe 1 durch den Mikroprozessor 40 
120 gegeben, urn einen Zugriff zu den Daten A 141 und zu 
den Daten B 142 zu ermoglichen. Die Daten werden nam- 
lich vom Mikroprozessor 120 dem Mikrocomputer 240 fur 
das Terminal zugefilhrt, einer Verarbeitung zur Anzeige un- 
terworfenundander Anzeigeeinheit 220 angezeigt Die Da- 45 
ten werden auch fur den Arzt angezeigt, um fur die Dia- 
gnose und Therapie herangezogen zu werden. Ein Tell der 
Ergebnisse wird auch uber die Tastatur 210 eingegeben und 
in den Datenbereich A 141 oder den Datenbereich B 142 im 
EEPROM 140 uber den Mikroprozessor 240 den Mikropro- 50 
zessor 120 u. a. geschrieben. , T ,, „ . 

Es kann dabei vorkommen, daB der Besitzer der IC-Karte 
100 bei einem Verkehrsunfall einer Notbehandlung bedarf, 
ohne in der Lage zu sein, selbst seine Personenidentifizie- 
rungsnummereinzugeben. In diesem Fall gibt der Arztseine 55 
Zulassungscodierung als praktizierender MeAziner und 
seine Personenidentifizierungsnummer uber die Tastatur 
210 ein. Das Eingabeergebnis liegt am Mikroprozessor 110 
in der IC-Karte 100, und zwar uber den Mikrocomputer 240. 
Der Mikroprozessor 120 bildet eine Berechdgungscodie- 60 
rung mit der Personenidentifizierungsnumnier 114 als 
SchlUssel und mit den Daten des zugelassenen Arztes , als 
Eingangsdaten, stellt sicher, ob die in dieser Weise gebildete 
ZulassigkeitscodierunginObereinstimmung mitderZulas- 
sigkeitscodierung 117 stent, die in die Datei geschneben ist, 65 
und vergleicht die Zulassungscodierung 113 des mederge- 
lassenen Arztes und die Personenidentifizierungsnummer 
114 des zugelassenen Arztes im ROM 110 mit der Zulas- 



sungscodierung und der Personenidenfifizierungsnummer, 
die eingegeben sind. Wenn diese Daten ubereinsUmmen, 
liest der Mikroprozessor 120 die Zulassigkeitsstufe 115 des 
Informadonsbezuges und die Daten, die dieser Zulassig- 
keitsstufe genugen, vom EEPROM 140 Das Ergebnis wird 
uber den Mikroprozessor 120 und den Mikrocomputer 240 
an der Anzeigeeinheit 220 angezeigt. 

Wenn die Zulassungscodierung des Arztes im entspre- 
chenden ROM 110 gefunden wird, die Personenidentifizie- 
rungsnummer jedoch nicht Ubereinstimmt, wird diese Tatsa- 
che an der Anzeigeeinheit 220 angezeigt und wird der Ar- 
beitsvorgang abgeschlossen. 

Wenn sogar die Zulassungscodierung des niedergelasse- 
nen Arztes im ROM 110 nicht gefunden wird, werden die 
Zulassungscodierung und die Personenidentifizierungsnum- 
mer, die vom Arzt eingegeben werden, dem Datenverarbei- 
tungszentrum 400 zugefflhrt, wo der Computer 410 zusam- 
menstellt, ob die Datenbank Daten enthalt, die mit der Zu- 
lassungscodierung und der Personenidentifizierungsnum- 
mer ubereinstimmen. Wenn das der Fall ist, wird eine ge- 
heime Codierung, die die tjbereinstimmung anzeigt, der IC- 
Karte 100 uber den Mikrocomputer 240 zugefuhrt. Die IL- 
Karte 100 entnimmt die Daten in Abhangigkeit von der Zu- 
lassigkeitsstufe 116 des Informationsbezuges fur nicht regi- 
strierte Arzte und zeigt die Daten an der Anzeigeeinheit 220 

Wenn die Zulassungscodierung des Arztes oder die Per- 
sonenidentifizierungsnummer des Arztes, die eingegeben 
wird, nicht ubereinstimmt, wird diese Tatsache an der An- 
zeigeeinheit 220 angezeigt und wird der Arbeitsvorgang ab- 
geschlossen. 

Um eine zufallige Ubereinstimmung zu vermeiden, die 
dann auftreten konnte, wenn Daten mehrfach eingegeben 
werden, ist es erlaubt, die GegenmaBnahme vorzusehen, daB 
ein Zugriff nicht mehr moglich ist, wenn eine falsche Perso- 
nenidentifizierungsnummer mehr als M-mal eingegeben 
wird, wobei M eine bestimmte Zahl ist. Wenn ein Zugriff 
zum Datenverarbeitungszentrum erfolgt, kann es weiterhin 
voreesehen sein, die Zulassungscodierung des Arztes, die 
Daten und die Zeit und den Besitzer der Karte in der Daten- 
bank des Datenverarbeitungszentrums zur Datenerfassung 

zu belassen. . , 

Im vorhergehenden wurden die Falle beschneben ^ bei ^e- 
nerTgetrennte Inhalte im Speicher ROM 110 und EEPROM 
140 gespeichert sind. Die Inhalte konnen jedoch auch ge- 
meinsam im EEPROM 140 gespeichert sein . Weiterhm ^kann 
ein Speicher mit direktem Zugriff RAM statt des EEPROM 
verwandt werden, vorausgesetzt, daB die Daten gespeichert 
sind, ohne geloscht zu werden. 

Die vorhergehenden Ausfuhrungsbeispiele befaBten sich 
mit den Fallen, in denen zwei Zulassigkeitsstufen des Infor- 
mationsbezuges vorhanden waren. Es versteht sich jedoch, 
daB auch drei oder mehr Zulassigkeitsstufen des Informati- 
onsbezuges vorgesehen sein konnen. 

Obwohl die obige Beschreibung sich weiterhin aur ein 
IC-Kartensystem fur Gesundheitsdaten bezog, eignet sich 
die erfindungsgemafie Ausbildung auch bei einem IC-Kar- 
tensystem fur Besitz- oder Vermogensdaten und bei ahnh- 
chen Systemen, bei denen eine dritte qualifizierte Person ge- 
zwungen sein kann, auf die Daten in einem Notfall zuzu- 

^D^erfindungsgemaBe System, bei dem ein Bankinsdtut 
die Rolle des IC-Kartenherausgebers spielt und eine ; IC- 
Karte fur einen Benutzer ausgibt, so daB dieser in einer Viel- 
zahl von Geschaften einkaufen kann, hat die folgenden Vor- 
teile: 



1. Schutz der Vertraulichkeit: Daten wie beispiels- 
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weise der Name des Handlers und der Geldbetrag wer- 
den mil Verschliisselungsbegriffen verschliisselt, die 
fur die ieweiligen Geschafte verschieden sind und aur 
die IC-Karte geschrieben. Das heiBt, daB die Situation, 
in der die Karte in einem Geschaft benutzt wurde, fur 
die anderen Geschafte geheim bleibt und die Vertrau- 
lichkeit fur den Benutzer geschutzt wird. 

2 Leichte Schliisselverwaltung: Der IC-Kartenver- 
walter, der einen Hauptentschlusselungsbegnff fur •«- 
nen Benutzer hat, kann alle Daten in der IC-Karte ent- 
schlUsselt. Der IC-Kartenverwalter benotigt einen ge- 
ringeren Arbeitsaufwand fur die Schlusselverwaltung 
beim Begleichen der ausgegebenen Geldbetrage, die in 
der IC-Karte aufgezeichnet sind. 

3 Sicherheit der Schliisselverwaltung: Der Hauptent- 
schlusselungsbegriff wird nurvom IC-Kartenverwalter 

verwaltet und die Zahl der Zugnffe ist relativ klein. Der 
Hauptentschlusselungsbegnff kann daher sicher ver- 
waltet werden. Wenn weiterhin ein Geschaft den Ver- 
schliisselungsbegriff oder den Entschlusse ungsbegnff 20 
unbeabsichtigt verloren hat, kann der Ve^chlussel- 
ungsbegriff oder der Entschliisselungsbegnff in der IC- 
Karte leicht unter Verwendung des Hauptentschlussel- 
ungsbegriffes der Karte entnommen werde 

4 Es ist raoglich, eine Anderung oder Falschung der 25 
Daten in der IC-Karte und in der Bankdatei festzustel- 

5 "im Notfall kann eine dritte quaUfizierte Person zu 
den Daten zugreifen und die Daten zum Nutzen des Be- 
sitzers der IC-Karte verwenden. 

6 Die Stufe zum Zugriff zu den Daten kann geteilt 
werden, so daB die Daten innerhalb eines Bereiches ei- 
ner gegebenen Stufe entnommen werden konnen. Die 
Daten von denen der Besitzer der Karte mcht wunscht, 
daB andere Personen davon Kenntnis erhalten, konnen 
vordrittenPersonen geheim gehalten werden. 

7 Eine dritte quaUfizierte Person klassifiziert die IJa- 
ten in diejenigen, die in der Karte registriert werden 
und diejenigen, die im Vemaltungszentrum registriert 
werden, so daB dann, wenn ein Arzt diese Daten be- 
nutzt, der Arbeitsaufwand und die Kosten fur einen Zu- 
griff zum Zentrum iiber eine Datenverbindungsschal- 
tung herabgesetzt werden konnen. 



nem der Terminals entschliisselt werden. 
Hierzu 5 Seite(n) Zeichnungen 
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Patentanspriiche 



IC-Karte zum bidirekdonalen Datentransfer mit einer 
Vielzahl von Terminals (9 bis 11), auf der ein Berechn- 
gungscode fiir die Benutzung der Vielzahl von Termi- 50 
nals durch einen Benutzer (16) der IC-Karte gespei- 
chert und auf der ein Speicher (19) vorgesehen isU de 
in eine Vielzahl von Bereichen (22 bis 24) aufgeteilt 
ist,dadurchgekennzeichnet,daB 
edem der Bereiche ein eigenes Verschlusselungs- und 55 
Entschlusselungsbegriffspaar (102 bis 107) zugeordnet 

wobei die verschiedenen Verschlusselungs- und Ent- 
schlusselungsbegriffspaare jeweik einei • Anzahl von 
Personen, die die Terminals (9 bis 11) betre.ben, be- 60 
kanntgeg^ben werden, urn die IC-Karte fur diese An- 
zahl von Personen verwendbar zu gestalten 
wobei die Daten jedes Bereiches bei Eingabe des dem 
Bereich zugeordneten Verschlusselungsbegnffes an ei- 
nem der Terminals verschliisselt werden, und 
wobei die Daten jedes Bereiches bei Eingabe des dem 
Bereich zugeordneten Entschliisselungsbegnffes an ei- 
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